Attaque ShadowHammer : ASUS réagit et publie un outil de diagnostic

Espérons qu'il est clean
6 min
Attaque ShadowHammer : ASUS réagit et publie un outil de diagnosticCrédits : GiorgioMagini/iStock

Des pirates ont utilisé des serveurs d'ASUS pour diffuser un programme malveillant signé numériquement avec un vrai certificat du fabricant. Il ciblait ensuite des centaines de machines. Malgré la gravité de la situation, ASUS a finalement publié un communiqué revenant sur l'affaire.

Au cours de l'année dernière, une version frelatée de l'utilitaire ASUS Live Update a été téléchargée et installée sur des dizaines de milliers d'ordinateurs.

Problème, ce fichier et son cheval de Troie étaient signés numériquement avec un certificat valide du fabricant. Il ne s'agissait en fait que de la première vague d'une attaque dont le but était de « cibler chirurgicalement un groupe d’utilisateurs inconnus, identifiés par les adresses MAC de leurs cartes réseau ».

Elle s'est déroulée entre juin et novembre 2018, mais n'a été identifiée que récemment. Le pot aux roses a été révélé par Kaspersky grâce à l'ajout d'une nouvelle technologie de détection des menaces en janvier, puis confirmée par Symantec. 

Un faux Live Update signé et diffusé par ASUS

Live Update est un petit programme installé par défaut sur les ordinateurs du fabricant et servant de passerelle pour les mises à jour des BIOS/UEFI, des pilotes, des applications maison, etc.

ASUS étant le cinquième plus gros fabricant de PC dans le monde (en volume), cette attaque pouvait potentiellement toucher un très grand nombre de machines et donc faire de gros dégâts. «Selon nos statistiques, plus de 57 000 utilisateurs des produits Kaspersky Lab ont installé cet outil qui contient une porte dérobée, mais nous pensons qu’il a pu être distribué à près d'un million de personnes », explique Kaspersky.

Près de 20 % des victimes identifiées par la société se trouvent en Russie, 16 % en Allemagne et 13 % en France. D'autres pays sont à moins de 10 %. Impossible pour autant d'en tirer la moindre conclusion puisque ces chiffres sont « fortement influencés par la répartition des utilisateurs de Kaspersky dans le monde ». En théorie, « la répartition des victimes devrait correspondre à celle des utilisateurs d’ASUS dans le monde entier ».

ASUS  ShadowHammer

Toujours selon Kaspersky, « il s’agit d’une attaque très sophistiquée » du même niveau voire dépassant celles de Shadowpad et CCleaner en termes de complexité technique. La raison pour laquelle le virus est resté dans l'ombre aussi longtemps tient au fait que le programme était signé avec des certificats légitimes, provenant par exemple d'« ASUSTeK Computer Inc », qui étaient hébergés sur des serveurs officiels comme liveupdate01s.asus.com et liveupdate01.asus.com.

Ce n'est d'ailleurs pas un, mais deux certificats qui ont été utilisés. Le premier ayant expiré au milieu de l'année dernière, il a été remplacé par un autre en cours de route. Autant de faisceaux qui indiquent que les pirates avaient un accès en profondeur à au moins une partie du réseau d'ASUS.

Une première étape avant la frappe chirurgicale

Tout aussi intéressant, cette attaque d'envergure n'était que la première étape d'une frappe chirurgicale ciblant « seulement » 600 ordinateurs, identifiés par leur adresse MAC. Ces dernières étaient codées en dur dans les plus de 200 échantillons de l'application étudiés par Kaspersky. Une méthode « utilisée contre les logiciels de trois autres vendeurs », prévenus également par l'éditeur.

Prudents, les chercheurs ajoutent tout de même que d'autres listes pourraient avoir été mises en place dans d'autres versions de l'utilitaire. Kaspersky a mis en ligne une site dédié afin de savoir si votre adresse MAC a été spécialement ciblée par ShadowHammer.

Pour le moment, les lieux, l'identité des machines et/ou des personnes visées ne sont pas précisés. Les chercheurs n'ont pas réussi à analyser en détail le fonctionnement de la seconde phase de cette attaque. En effet, le serveur de contrôle a été fermé en novembre dernier, avant que l'attaque ne soit découverte. Impossible donc pour le moment de dire quel était le but de cette seconde étape.

ASUS  ShadowHammer

Après avoir fait l'autruche, ASUS réagit

Kaspersky affirme avoir contacté ASUS le 31 janvier, bien avant que cette attaque ne soit rendue publique. Vitaly Kamluk, un des directeurs de Kaspersky, affirme à Motherboard qu'un employé a ensuite rencontré ASUS le 14 février, mais la société n'aurait pas vraiment réagi depuis et n'aurait « même pas informé ses clients de ce problème ».

Pire encore, ASUS aurait continué à utiliser l'un des certificats compromis pour signer ses propres fichiers un mois après en avoir été informé par Kaspersky. Si elle a depuis cessé, elle n'aurait par contre toujours pas révoqué les deux certificats en question. Contactée, ce matin, elle promettait un communiqué, qui vient d'être publié.

Elle y précise que « les Menaces Persistantes Avancées (APT) sont des attaques à l'échelle nationale généralement perpétrées par certains gouvernements visant des organisations ou entités internationales plutôt que les utilisateurs grand public. ASUS Live Update est un logiciel propriétaire intégré aux notebooks ASUS pour maintenir les pilotes et firmwares ASUS à jour. L'attaque APT sur nos serveurs Live Update a permis aux pirates informatiques de placer un code malveillant dans certains de nos ordinateurs pour cibler un groupe spécifique et limité d'utilisateurs ».

Une manière de minimiser le problème pour le grand public qui ne devrait ainsi pas se considérer comme visé, malgré l'ampleur de la faille. Le constructeur ajoute avoir pris contact avec les utilisateurs concernés et mis à jour Live Update (v3.6.8) « en y introduisant notamment de multiples mécanismes de vérification sécuritaire empêchant toute manipulation malveillante sous la forme de mises à jour logicielles ou autre ».

Du chiffrement de bout en bout est également de la partie, ce qui ne semble pas très utile dans une situation où les certificats de la société et ses serveurs ont été compromis. ASUS incite ses clients à la contacter pour toute question et promet avoir « mis à jour puis renforcé l'architecture logicielle de nos serveurs pour empêcher toute nouvelle tentative d'attaque », sans plus de détails. Un outil de diagnostic a été créé, pour vérifier les systèmes impactés. 

Plus de détails à venir

Kaspersky indique de son côté qu'il donnera plus de détails lors de son Kaspersky Security Analyst Summit qui se déroulera du 8 au 11 avril prochain à Singapour.

Dans tous les cas, « cette attaque montre que la confiance que nous accordons, basée sur des noms connus et sur la validation par des signatures numériques, ne peut garantir une protection contre les logiciels malveillants », affirme Vitaly Kamluk en guise de conclusion.

Pour rappel, ASUS était déjà sous le feu des projecteurs en 2016, la FTC montait au créneau pour dénoncer des failles critiques sur ses routeurs. Un accord a depuis été trouvé avec la mise en place d'audits de sécurité réguliers et indépendants, auxquels la société doit se conformer pour au moins 20 ans.

  • Introduction
  • Un faux Live Update signé et diffusé par ASUS
  • Une première étape avant la frappe chirurgicale
  • Après avoir fait l'autruche, ASUS réagit
  • Plus de détails à venir
S'abonner à partir de 3,75 €

2000 - 2021 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0321 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact